可以被计算或基于一个对期望行为的概念性理解。决策准则可以从历史数据、计划和启发式方法导出,或者从统计控制界限或统计置信界限计算得到。
7.6 测度证实
管理层应对所开发的测度进行证实,以保证所开发测度是有用并有成本效益的。下面这些准则可能与决定测度是否有用并有成本效益相关:
a) 战略的:与组织的业务目标和利益相关方的需求一致; b) 定量的:提供客观和经验数据;
c) 解释性的:能容纳主观输入来帮助对数据的解释;
d) 具有成本效益:数据收集的成本应与被测量价值相关的潜在损失相平衡; e) 可验证:第三方评审者应能评估数据,并能重现结果; f)
有意义:数据应提供与一段时间内所应用控制措施和控制目标相关的有意义信息,使得能够对变更影响或结果一致性进行评估; g) 实用:结果应支持使命、财务和运行的决策;
h) 不可分: 数据应该在可能的最细、不可分解的级别下被收集; i) j)
7.7 数据收集、分析和报告
应该建立或剪裁测量数据收集、分析和报告的过程,如果存在这样的过程。如果需要,还应该建立提供支持的工具和技术。这些过程、工具和技术可以满足以下测量相关的活动:
a) 数据收集,包括存储和验证。规程应详细说明数据是如何被收集和区分的,以及这些
数据将怎样和在哪里被存储。数据验证可能会通过审计来完成。自动化工具能被用来支持这些规程;
b) 数据分析,以及测量的报告。规程应详细说明数据收集方法、频率、格式,以及报告
信息产品的方法。应该识别哪些工具可以被用来执行数据分析。 报告格式的范例包括:
a) 通过整合高级别指标提供战略信息的记分卡;
b) 执行和运行的仪表板,不是集中在战略目标,而更关注特定控制措施和过程的有效性。
仪表板可能会使用一系列的颜色来沟通结果——例如,从黑色(0%)到浅绿色(100%),但是请注意5.3.3中表3有关使用颜色的说明;
c) 报告,从简单和统计性的,比如一个给定时间段的测度列表,到更为复杂的交叉表,
21
良好定义:在7.5中所描述的详细模板中记录;以及 可重复:测量应产生可比较和可再生的结果。
这种交叉表包括内嵌组、滚动总结、动态透视或链接。报告最好被用在用户需要以一种易读的格式看原始数据时;以及
d) 量表来表示动态的数据值包括警报、附加的图形元素,以及端点的标记。 7.8 记录
测量的完整方法应被记录在一个实施计划中。实施计划应至少包括以下信息: a) 测量的意图;
b) 将被测量的控制措施和控制目标; c) 测量对象;
d) 将被收集和使用的测度; e) 数据收集过程; f)
数据分析和报告过程,包括报告格式;
g) 利益相关方的角色和责任;以及
h) 测度评审的周期,以确保测量与信息安全管理体系和业务目标保持同步。
8. 测量运行 8.1 概述
信息安全测量的运行包括收集、存储和验证被用来创建信息安全测度的数据。它也包括一些必要的活动,这些活动保证所收集的测量被用来获得对信息安全管理体系有效性的理解,以及识别适当的改进措施。本阶段包括以下活动:
a) 将测量规程整合进整个信息安全管理体系的运行;以及 b) 收集、存储和验证数据。
8.2 规程整合
信息安全测量项目应被信息安全管理体系充分地整合和使用,包括:
a) 在信息安全管理体系背景下,定义和记录关于开发、实施和维护信息安全测量的角色
和职责;
b) 数据生成与收集,包括变更现有过程以容纳数据生成与收集活动;
c) 向利益相关方沟通数据收集活动的改变,以保证数据收集人的能力,包括他们对所要
求数据类型、数据收集工具、数据收集规程的理解。增强信息收集人的能力将有助于提高数据收集质量,以及测量对组织的用处;
d) 数据分析和报告应被整合进相关过程,以保证这些过程的常规性能;
22
e) 策略和规程,它们定义了组织内测量的使用,测量信息的发布,以及信息安全测量项
目的审计和评审; f)
一个监控测量的过程,以评价测量的使用情况;
g) 一个去除测量和增加新测量的过程,以确保测量随组织不断演进;以及 h) 一个确定用于趋势分析的历史数据有用期的过程。
8.3 数据收集和处理
数据收集过程包括:
a) 所需要的数据应根据实施计划中定义的过程,使用指定的测量方法按照常规间隔来收
集;
b) 记录数据收集,包括:
1) 数据收集的日期、时间、地点; 2) 信息收集者; 3) 信息所有者;
4) 数据收据过程中发生的任何问题;以及 5) 数据验证和测量证实的信息;以及 c) 根据属性证实准则,验证所收集的数据
应对所收集数据进行整理,并以有助于数据分析和报告的格式来存储。所存储的数据应带有必要的背景信息。
9. 测量分析和报告 9.1 概述
测量应该被分析和报告。这个阶段包括以下活动: a) 分析数据和产生测量结果;以及 b) 向利益相关方沟通测量结果。
9.2 分析数据和产生测量结果
收集的数据应该基于决策准则被分析和解释。数据在分析之前可以被聚合、转换或再次编码,在数据处理期间将产生计划中的指标。很多种分析技术能被应用。分析的深度应该根据数据的自身特性和信息需要来确定。执行统计分析的指南参见ISO TR 10017:2003。
数据分析的结果应该被解释。分析结果的人(沟通者)应该能基于结果给出一些初始结论。但是沟通者可能不会直接涉及技术和管理过程,这些结论需要由其他利益相关方进行评审。所
23
有的解释都应该考虑测度的背景。
数据分析应识别实际性能和期望性能间的差距。这种分析将指出可能需要改进的相关测量对象、控制目标及控制措施,以改进信息安全性能。对那些显示出不符合或性能差的指标,应该识别其原因,可能包括以下几类:
a) 实施失败造成的不符合——被期望实施的控制措施或信息安全管理体系过程,或者没
有被实施,或者在实施、运行和管理上不充分; b) 无效控制措施或信息安全管理体系过程
1) 控制措施或信息安全管理体系过程已被正常实施、运行和管理,但不能应对所预计的威胁;
2) 控制措施或信息安全管理体系过程已被实施,但没有被正常运行和管理。 c) 风险处置失败:控制措施或信息安全管理体系过程已被正常实施、运行和管理,但可
以被威胁绕过;以及 d) 风险评估失败:
1) 控制措施或信息安全管理体系过程已被正常实施、运行和管理,但不能应对实际
威胁,因为威胁范围太大;
2) 控制措施或信息安全管理体系过程未被实施,因为风险评估过程中忽视了一些威
胁;以及
3) 控制措施或信息安全管理体系过程已被实施但无效,因为风险评估过程中忽视了
一些威胁。
数据分析结果、指标、与决策准则相关的解释,以及相关的支持信息构成了测量结果。 总结测量结果的报告,应根据实施计划,使用适当的报告格式(见7.7)来准备。 分析的结论应被利益相关方评审,以保证对数据的适当解释。数据分析的结果应被记录,以便向各利益相关方进行沟通。
9.3 沟通结果
负责分析数据和报告结果的人员或组织单位(沟通者)应该决定如何沟通信息安全测量结果,包括:
a) 哪些测度在内部和外部报告;
b) 针对各利益相关方和兴趣相关方的测度列表;
c) 报告结构,被提供的特定测度,以及展示类型都应被剪裁以适合各个组的需求;以及 d) 各利益相关方之间交换反馈意见的方式,用来评价信息产品和测量过程; 测量结果应该与一系列的内部利益相关方沟通,包括但不限于:
24
相关推荐:
loading